Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Datei runs.exe lässt sich nicht löschen (https://www.trojaner-board.de/56101-datei-runs-exe-laesst-loeschen.html)

Drachenwelt 16.07.2008 16:19
Datei runs.exe lässt sich nicht löschen
 
Hallo zusammen,

bin auch neu hier und hoffe ich mache alles richtig und ihr könnt mir helfen.

Ich habe auf dem Desktop meines Rechners eine Datei mit dem Namen runs.exe (die Antivir mittlerweile umbenannt hat in runs.vir, was aber nicht weiterhilft). Regelmäßig kommt nun von Antivir eine oder mehrere Meldungen das ein Virus vorhanden ist. dann wir angebotzen diese Datei zu löschen ( oder zu verschieben), dies wird aber laut Log von Antivir immer verweigert.
Auf normalem weg lässt sich die Datei natürlich auch nicht löschen.

Hier schon mal das HiJackThis logfile


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:06:13, on 16.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\T-Systems Nova\Mobile Corporate Access\GRFW.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Novadigm\radexecd.exe
C:\Programme\Novadigm\radsched.exe
C:\Programme\Novadigm\Radstgms.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TKRV6XP\ServFtp.exe
C:\Programme\TKRV6XP\TkrService.exe
C:\Programme\TKRV6XP\FUSsrv.exe
C:\Programme\TKRV6XP\TLOGFILE.EXE
C:\Programme\TKRV6XP\ServTKR.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AIM95\aim.exe
D:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe
D:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\bkzyu6\Desktop\runs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\System32\igfxsrvc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Network Associates\Common Framework\UdaterUI.exe
C:\Programme\Network Associates\Common Framework\McTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Adobe\Acrobat\Acrobat.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.***.de/profpro_tower_ad.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftpproxy.***.de:8080;http=wwwproxy.***.de:8080;https=wwwproxy.***.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;*.postag.de;127.0.0.1;*.***.de;*.***.net;*.**-itsolutions.de;localhost;<local>
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {53756402-2001-5762-3046-99ca3230262a} - C:\Programme\Common Files\System\nt_mmcs.cpl
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKLM\..\RunOnce: [SpybotDeletingA1334] command /c del "C:\WINDOWS\pskt.ini"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4964] cmd /c del "C:\WINDOWS\pskt.ini"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6337] command /c del "C:\WINDOWS\system32\hdtfradt.dll_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC479] cmd /c del "C:\WINDOWS\system32\hdtfradt.dll_old"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Nokia.PCSync] "D:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [Shockwave Updater] C:\WINDOWS\system32\Macromed\SHOCKW~1\SWHELP~3.EXE -Update -1030024 -IEXPLORE.EXE7.0
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: (no name) - {AEF9B8DB-0DEF-4c0b-8209-661C9E82B8C3} - C:\Programme\WinSysClean 2008 Trial\UDManager\UDManager.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://***.de
O16 - DPF: {22D76F0E-F7F9-11D7-8331-00408103CBD8} (HIPCtrl20031006.HIPCtrl1) - http://***.de/prg/HIPCtrl20031006.CAB
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.com
O17 - HKLM\Software\..\Telephony: DomainName = ***.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CCAA8BA-B158-49D3-9CD9-1F8F8CA05A0C}: Domain = ***.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ***.com,***.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = ***.com,***.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ***.com,***.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: CexTrayWinLogon - C:\Programme\CryptoEx\Common\CexTrayWinLogon.dll
O20 - Winlogon Notify: PSUTY - C:\WINDOWS\SYSTEM32\PSUWNP.dll
O20 - Winlogon Notify: TalkRemote - C:\WINDOWS\SYSTEM32\TkrginaExt.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Corporate WLAN Configuration (CWLANCFG) - Unknown owner - C:\SCRIPTS\CWLAN\srvany.exe
O23 - Service: Global Remote Firewall - T-Systems International GmbH - C:\Programme\T-Systems Nova\Mobile Corporate Access\GRFW.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: Radia Notify Daemon (radexecd) - Hewlett-Packard - C:\Programme\Novadigm\radexecd.exe
O23 - Service: Radia Scheduler Daemon (radsched) - Hewlett-Packard - C:\Programme\Novadigm\radsched.exe
O23 - Service: Radia MSI Redirector (Radstgms) - Hewlett-Packard - C:\Programme\Novadigm\Radstgms.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TalkRemote 6.0 FTP Server - INTEGRO - C:\Programme\TKRV6XP\ServFtp.exe
O23 - Service: TalkRemote 6.0 NT Security - Integro - C:\Programme\TKRV6XP\TkrService.exe
O23 - Service: TalkRemote 6.0 WorkStation (TalkRemote 6.0 Workstation) - Integro - C:\Programme\TKRV6XP\ServTKR.exe
O23 - Service: TalkRemote FUS Server - Unknown owner - C:\Programme\TKRV6XP\FUSsrv.exe

--
End of file - 12370 bytes

und hier das logfile von malwarebytes Anti Malware

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 930
Windows 5.1.2600 Service Pack 2

17:17:40 16.07.2008
mbam-log-7-16-2008 (17-17-39).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 89837
Scan Dauer: 45 minute(s), 57 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)


was kann ich noch an Info's Liefern und wie krieg ich das Teil wieder weg ?
Die Suchfunktion hat mir leider nicht weiterhelfen Können.

Vorab schon mal Danke für Euere Mühe

Silent sharK 16.07.2008 16:27
Hi und :hallo:,

lade die betroffene Datei bitte bei Virustotal hoch und lass sie auswerten.


Poste das komplette Ergebnis hier.

mfg

Drachenwelt 17.07.2008 07:38
Hier das Ergebnis:

Analyse:

Datei runs.VIR empfangen 2008.07.17 08:33:26 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 6/33 (18.19%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.17.0 2008.07.17 -
AntiVir 7.8.0.68 2008.07.17 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.07.16 -
Avast 4.8.1195.0 2008.07.17 -
AVG 7.5.0.516 2008.07.16 -
BitDefender 7.2 2008.07.17 -
CAT-QuickHeal 9.50 2008.07.16 -
ClamAV 0.93.1 2008.07.17 -
DrWeb 4.44.0.09170 2008.07.16 -
eSafe 7.0.17.0 2008.07.16 -
eTrust-Vet 31.6.5961 2008.07.17 -
Ewido 4.0 2008.07.16 -
F-Prot 4.4.4.56 2008.07.16 -
F-Secure 7.60.13501.0 2008.07.17 -
Fortinet 3.14.0.0 2008.07.17 -
GData 2.0.7306.1023 2008.07.17 -
Ikarus T3.1.1.26.0 2008.07.17 Trojan.Crypt.XPACK
Kaspersky 7.0.0.125 2008.07.17 -
McAfee 5340 2008.07.16 -
Microsoft 1.3704 2008.07.17 Program:Win32/Antivirus2008
NOD32v2 3274 2008.07.17 -
Norman 5.80.02 2008.07.16 -
Panda 9.0.0.4 2008.07.16 -
Prevx1 V2 2008.07.17 Malicious Software
Rising 20.53.30.00 2008.07.17 -
Sophos 4.31.0 2008.07.17 -
Sunbelt 3.1.1536.1 2008.07.15 -
Symantec 10 2008.07.17 -
TheHacker 6.2.96.381 2008.07.16 -
TrendMicro 8.700.0.1004 2008.07.17 -
VBA32 3.12.8.0 2008.07.17 suspected of Malware-Cryptor.Win32.General.2
VirusBuster 4.5.11.0 2008.07.16 -
Webwasher-Gateway 6.6.2 2008.07.17 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 50688 bytes
MD5...: c59da69aac7514be9896fa2ff91849b7
SHA1..: d8efad4dfbb9628778f7290cafd68e1cb21e7af1
SHA256: 4555d873f46c698aafaae802efa9bfe5c485ce2bd4a7e4236e1d3c3bb1c40280
SHA512: ceaba4a7dd822cf18399cf292b8de25168e1d2f0b365ad5226daebd40e42188a
f43df50629ed08fc94ebcc833897902967aa6a5a4718c1183c975efaa7ddd1ab
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40126c
timedatestamp.....: 0x457bac9c (Sun Dec 10 06:43:40 2006)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2f0d 0x3000 1.47 faf532f7c25f68cf7c54266c3a6d5292
.data 0x4000 0x876e 0x8800 7.14 28f3c153a47346f495afdc43a908cd67
.bbs 0xd000 0xe6a7 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x1c000 0x346 0x400 4.15 ee71c05fbcf192c8be0635c672400c3b
.tls 0x1d000 0xec 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x1e000 0x18 0x200 0.21 7376050c1f5bdc4eda125635ed973b50
.bbs 0x1f000 0xe9 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b

( 2 imports )
> advapi32.dll: RegCreateKeyA, RegQueryValueExW, RegOpenKeyExW, RegOpenKeyW, RegDeleteKeyA, RegCreateKeyExW, RegQueryValueW, RegEnumKeyExA, RegEnumKeyExW, RegCreateKeyW, RegCreateKeyExA, RegOpenKeyA, RegEnumValueW, RegQueryValueExA
> user32.dll: GetCursor, DrawIconEx, DrawTextW, IsWindow, InsertMenuA, GetMenu, CopyIcon, GetWindowTextA, DialogBoxParamA, LoadCursorA, CreateIcon, DialogBoxParamW, GetDlgItem, GetWindowTextLengthA, EndDialog, GetDC, LoadMenuA, GetFocus

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=CBED8B8200204F28C6FD009BB61508002AD0AC0D


Anscheinend gabs das aber schon öfter:


Datei runs.VIR empfangen 2008.07.15 19:03:34 (CET)
Status: Beendet

Ergebnis: 4/33 (12.12%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - TR/Crypt.XPACK.Gen
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - -
Fortinet - - -
GData - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - Program:Win32/Antivirus2008
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - suspected of Malware-Cryptor.Win32.General.2
VirusBuster - - -
Webwasher-Gateway - - Trojan.Crypt.XPACK.Gen
weitere Informationen
MD5: c59da69aac7514be9896fa2ff91849b7
SHA1: d8efad4dfbb9628778f7290cafd68e1cb21e7af1
SHA256: 4555d873f46c698aafaae802efa9bfe5c485ce2bd4a7e4236e1d3c3bb1c40280
SHA512:

Silent sharK 17.07.2008 07:43
Ok,
Die Datei ist mir unsympathisch..
mache bitte folgendes:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


http://saved.im/mjy0mthybjrp/avenger.bmp



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


Code:
files to delete:
C:\Dokumente und Einstellungen\bkzyu6\Desktop\runs.exe
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Danach:

Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]TEXT['/CODE]


Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.

mfg

Drachenwelt 17.07.2008 13:08
Avenger :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\bkzyu6\Desktop\runs.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Drachenwelt 17.07.2008 13:09
Deckards extra: Teil1

Code:
Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: Genuine Intel(R) CPU          T2300  @ 1.66GHz
CPU 1: Genuine Intel(R) CPU          T2300  @ 1.66GHz
Percentage of Memory in Use: 59%
Physical Memory (total/avail): 1021.92 MiB / 415.54 MiB
Pagefile Memory (total/avail): 2459.68 MiB / 1942.55 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1939.2 MiB

C: is Fixed (NTFS) - 19.99 GiB total, 7.9 GiB free.
D: is Fixed (NTFS) - 54.53 GiB total, 46.35 GiB free.
H: is Network (NTFS)
I: is Network (NTFS)
J: is Network (NTFS)
M: is Network (NTFS)
R: is CDROM (No Media)
U: is Network (NTFS)

\\.\PHYSICALDRIVE0 - FUJITSU MHV2080BH - 74.53 GiB - 2 partitions
  \PARTITION0 (bootable) - Installierbares Dateisystem - 19.99 GiB - C:
  \PARTITION1 - Erweitert mit Int 13 (erweitert) - 54.53 GiB - D:



-- Security Center -------------------------------------------------------------

AUOptions is not configured.
AUState says computer is in an unknown state.
Windows Internal Firewall is disabled.

AntiVirusDisableNotify is set.
UpdatesDisableNotify is set.

FW: Global Remote IP-Filter v2.1.1.9 (T-Systems International)
AV: Avira AntiVir PersonalEdition v8.0.1.18 (Avira GmbH)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Network Associates\\Common Framework\\FrameworkService.exe"="C:\\Programme\\Network Associates\\Common Framework\\FrameworkService.exe:*:Enabled:McAfee Framework Service"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\TKRV6XP\\ServTkr.exe"="C:\\Programme\\TKRV6XP\\ServTkr.exe:*:Enabled:ServTkr.exe"
"C:\\Programme\\TKRV6XP\\ServFtp.exe"="C:\\Programme\\TKRV6XP\\ServFtp.exe:*:Enabled:ServFtp.exe"
"C:\\Programme\\TKRV6XP\\TKRService.exe"="C:\\Programme\\TKRV6XP\\TKRService.exe:*:Enabled:TKRService.exe"
"C:\\Programme\\TKRV6XP\\TkrPtApp.exe"="C:\\Programme\\TKRV6XP\\TkrPtApp.exe:*:Enabled:TkrPtApp.exe"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\bkzyu6\Anwendungsdaten
APS=NonStandard
CDO=0002-7020480208
CLASSPATH=.;C:\Programme\Java\j2re1.4.2_03\lib\ext\QTJava.zip
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERLOCATION=6HS000000015822
COMPUTERNAME=CX0011360
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=H:
HOMEPATH=\
HOMESHARE=\\ISS-F2003\bkzyu6$
LOGONSERVER=\\ISS-DC0089
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Programme\PC Connectivity Solution;C:\Programme\Gemeinsame Dateien\Adobe\AGL;C:\Programme\T-Systems Nova\Mobile Corporate Access;C:\Programme\QuickTime\QTSystem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 14 Stepping 8, GenuineIntel
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0e08
ProgramFiles=C:\Programme
PROMPT=$P$G
QTJAVA=C:\Programme\Java\j2re1.4.2_03\lib\ext\QTJava.zip
SAPLOGON_INI_FILE=C:\Programme\sap\saplogon\saplogon.ini
SESSIONNAME=Console
SG4RNR=R6901355
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\Temp
TMP=C:\Temp
USERDNSDOMAIN=***.COM
USERDOMAIN=***
USERNAME=***
USERPROFILE=C:\Dokumente und Einstellungen\***
windir=C:\WINDOWS

Drachenwelt 17.07.2008 13:13
Deckard's extra Teil 2:

Code:

-- User Profiles ---------------------------------------------------------------

Administrator (admin)
a0c1nr15 (new local, update central, admin)
bkzyu6 (admin)


-- Add/Remove Programs ---------------------------------------------------------

 --> C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{A1C3AF9B-E4EB-4F24-BD32-05C2D93227F1}\setup.exe" -l0x7  -removeonly
 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
41_FindDomGC_0100 --> MsiExec.exe /I{6CB7D8F9-44E4-48EE-9C53-AF57D1B5CABB}
41_KB893803XP2D_R_0100 --> MsiExec.exe /X{BE6F2AD5-C47A-4267-9FDB-7E0A414F66C3}
41_KB896424XPD_R_0100 --> MsiExec.exe /X{3721E967-6930-4A60-812F-98804525C8C9}
41_KB902400XPD_R_0100 --> MsiExec.exe /X{D955DCFF-6630-4014-8148-38FD21B24EE5}
41_KB908519XPD_R_0100 --> MsiExec.exe /X{4F2D7CF6-63C6-4278-8E82-DB0278D4BC5D}
41_KB911927XPD_R_0100 --> MsiExec.exe /X{D0BEB82F-5F9F-4063-ACC7-A217C127D0A7}
41_KB912919XPD_R_0100 --> MsiExec.exe /X{B93CCED4-636C-43E2-8F3F-A4889F7CE56D}
41_KB913446_R_0100 --> MsiExec.exe /X{10EE68A2-6CF1-47C2-A88C-9F8FA05E67B5}
41_KB921883_R_0100 --> MsiExec.exe /X{A978BD87-8F1D-49AB-A155-61BE9B54C0F0}
41_MCAFEEAGENT77_0802 --> MsiExec.exe /I{9183D59B-EAFB-4222-8DA0-B040B46DE6D1}
41_moveshare_0400.msi --> MsiExec.exe /I{8F1B55EB-300E-4C18-A0A9-0103C31B47C1}
41_MxTokenSize01_0100 --> MsiExec.exe /I{2F22C117-88A2-40ED-A5F7-C33057AB2E81}
41_OWSSUPPDLL01_106403 --> MsiExec.exe /I{198F3DFC-B91B-49B2-A125-35AEC01FADA1}
41_OXPProScript02_010400 --> MsiExec.exe /I{AB67ACC7-8D2F-4203-8505-C17FF8A3DA2E}
41_OXPProScript03_010400 --> MsiExec.exe /I{7F4E6742-FE7B-4A6C-9B69-271F79F05AB2}
41_QVPlusDCX_010000 --> MsiExec.exe /I{0E7A0BC5-74B1-4BE3-9E28-5331BFE17004}
41_TKRUNINP01_R_0100 --> MsiExec.exe /X{814454A5-A999-49FA-9D3B-27EDA40E5E95}
41_VSCANDE_R_0802 --> MsiExec.exe /I{F0856D1B-11EE-4652-8174-EAF3D5AB6C66}
41_XPSP2DE_R_0100 --> MsiExec.exe /I{02056467-9968-400D-9C5D-F077291537CE}
Ad-Aware 2007 --> MsiExec.exe /I{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}
Adobe Acrobat 7.0 Professional - English, Français, Deutsch --> msiexec /I {AC76BA86-1033-F400-7760-100000000002}
Adobe Bridge 1.0 --> MsiExec.exe /I{B74D4E10-6884-0000-0000-000000000101}
Adobe Common File Installer --> MsiExec.exe /I{8EDBA74D-0686-4C99-BFDD-F894678E5101}
Adobe Flash Player 9 ActiveX --> MsiExec.exe /X{8186E1B9-DDC6-45B6-B9EB-C28947CBC4CF}
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Help Center 1.0 --> MsiExec.exe /I{E9787678-119F-4D52-B551-6739B2B22101}
Adobe Photoshop CS2 --> msiexec /I {236BB7C4-4419-42FD-0407-1E257A25E34D}
Adobe Reader 7.0.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70000000000}
Adobe Shockwave Player --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Adobe Stock Photos 1.0 --> MsiExec.exe /I{786C5747-0C40-4930-9AFE-113BCE553101}
Adobe® Photoshop® Album Starter Edition 3.0 --> MsiExec.exe /I{4BDFD2CE-6329-42E4-9801-9B3D1F10D79B}
Agere Systems HDA Modem --> agrsmdel
AOL Instant Messenger --> C:\Programme\AIM95\uninstll.exe -LOG= C:\Programme\AIM95\install.log -OEM=
Apple Mobile Device Support --> MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543}
Apple Software Update --> MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}
ATI Display Driver --> rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean
Avira AntiVir Personal – Free Antivirus --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
Bluetooth Stack for Windows by Toshiba --> MsiExec.exe /X{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}
CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"
Citrix ICA-Client --> MsiExec.exe /I{1F45D107-2440-4B2B-9CEA-BA1D27F727AA}
CryptoEx Outlook 3 --> MsiExec.exe /I{D8A5924B-6AA5-4788-BF0C-32EE7431A03D}
CS_Manager --> "C:\Programme\CS_Manager\unins000.exe"
DIE SIEDLER - Aufstieg eines Königreichs --> "C:\Programme\InstallShield Installation Information\{D3F80A98-05AB-4D8C-9272-766CCFA6A48D}\setup.exe" -runfromtemp -l0x0007 -removeonly
DivX Codec --> C:\Programme\DivX\DivXCodecUninstall.exe /CODEC
DivX Content Uploader --> C:\Programme\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Converter --> C:\Programme\DivX\DivXConverterUninstall.exe /CONVERTER
DivX Player --> C:\Programme\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player --> C:\Programme\DivX\DivXWebPlayerUninstall.exe /PLUGIN
Drache 3D --> C:\WINDOWS\Drache3DUninstaller.exe
FixMcAffee7 --> MsiExec.exe /I{7A1C789E-DBBA-45EB-94C1-8AEAAB9F5061}
FLV Player --> "C:\WINDOWS\FLV Player\uninstall.exe" "/U:C:\Programme\FLV Player\Uninstall\uninstall.xml"
Free DWG Viewer 5.4 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{B8B4D43C-EAA0-4EEC-B93E-D4D012316286}\setup.exe" -l0x9  -removeonly
FTPSichtXPD --> MsiExec.exe /I{57E16FE7-E140-4121-8324-181223656B8C}
Fujitsu Hotkey Utility --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{805BDB3F-6803-45F7-B959-4FE5B921BC55}\setup.exe"
Fujitsu System Extension Utility --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{04ECD699-9F3A-4F9C-A476-EEAA4E172079}\setup.exe"
Google Earth --> MsiExec.exe /I{1E04F83B-2AB9-4301-9EF7-E86307F79C72}
High Definition Audio - KB888111 -->
HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Home Media Server 4.0.0.0072 --> C:\Programme\SimpleCenter\uninstall.exe
Hotfix für Windows XP (KB935448) -->
IrfanView (remove only) --> D:\Programme\IrfanView\iv_uninstall.exe
iTunes --> MsiExec.exe /I{9F70BF98-003C-491D-81FC-FF9792206AF0}
Java 2 Runtime Environment, SE v1.4.2_03 --> MsiExec.exe /I{1456BE7D-3C6E-4B5C-B43A-465C4127E894}
JetForm Filler Pro 5.2.6 --> MsiExec.exe /I{D26E605B-C7BD-4848-8EA9-C9ABDA4E3053}
Lifebook Application Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{271274D2-92C6-4EEC-A0AD-9DA5272AD5C9}\setup.exe"
LiquidView --> MsiExec.exe /I{8F25E079-FBCE-469A-8963-CB802B8AD7BA}
LostGPORep --> MsiExec.exe /I{93383B1D-0E00-47C9-827F-4FFDF0BD9A4D}
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Masterlayout --> MsiExec.exe /X{980902CF-AA49-4AE8-896C-513782EED3F1}
Masterlayout MSP01 --> MsiExec.exe /X{DCEE2311-39E4-4A81-9773-7F954C727D83}
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5 --> "C:\WINDOWS\$NtUninstallWdf01005$\spuninst\spuninst.exe"
Microsoft Office XP Professional --> MsiExec.exe /I{90110407-6000-11D3-8CFE-0050048383C9}
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft XML Parser und SDK --> MsiExec.exe /I{3E908702-AF35-4611-9518-955DA24B7E07}
Mobile Corporate Access --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{E1B19998-93DE-4E3A-9B3A-4A7AFA575BF5}\Setup.exe"
MSVC80_x86 --> MsiExec.exe /I{212748BB-0DA5-46DE-82A1-403736DC9F27}
Nokia Connectivity Cable Driver --> MsiExec.exe /X{4F1DCA42-2030-437C-A94E-736692A499C1}
Nokia Lifeblog 2.1 --> MsiExec.exe /I{EE565795-2776-415A-B31C-EB3A8D7C6FA4}
Nokia Map Loader --> C:\Programme\Nokia Map Loader\Uninstall.exe
Nokia Maploader --> C:\Programme\Nokia Maploader\Uninstall.exe
Nokia MTP driver --> MsiExec.exe /I{0E94871C-623C-464F-A117-B8474BFF84E1}
Nokia PC Suite --> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations\{9C05FA75-0337-4523-AA57-9D3511018887}\Nokia_PC_Suite_rel_6_86_9_3_ger_web[1].exe
Nokia PC Suite --> MsiExec.exe /I{9C05FA75-0337-4523-AA57-9D3511018887}
Nokia Software Launcher --> MsiExec.exe /I{5CCABD37-479D-4304-B1A5-67952C25F8F2}
Nokia Software Updater --> MsiExec.exe /X{3741689E-584D-40C9-B011-373A0371846D}
Norton Security Scan --> MsiExec.exe /I{80A97464-A741-44B0-8AD6-0C16B1FEF7F6}
P_41_CWLANKONFIG_0100 --> MsiExec.exe /I{D26A53BE-CA76-423A-975C-CD28EC57A51C}
P_41_IPSwitchSP2_0100 --> MsiExec.exe /I{CD9888F7-A6C1-4ABE-AA58-FE309815355D}
P_41_KB24270XPD_R_0100 --> MsiExec.exe /X{5A52988A-5F8C-4297-A59F-A06FC693FE12}
P_41_KB896256XPD_R_0401 --> MsiExec.exe /X{8627E4DF-F6F8-4DF4-BEBA-925082F29F35}
P_41_KB911280XPD_R_0100 --> MsiExec.exe /X{9FA6CCEE-5F09-4410-B9DB-5DC902162C3A}
P_41_KB914388XPD_R_0100 --> MsiExec.exe /X{1C7439B5-8AAB-4D67-84AF-650A8A591030}
P_41_KB914389XPD_R_0100 --> MsiExec.exe /X{829FDBD5-5C0A-4573-BE6A-379EFC59821E}
P_41_KB917344_R_0100 --> MsiExec.exe /X{9B3D6FC1-1989-42BB-968F-023F0FC1B06C}
P_41_KB917953XPD_R_0100 --> MsiExec.exe /X{39D7B6D6-8736-4A15-86A2-0FA3F8F88095}
P_41_KB918118XPD_R_0100 --> MsiExec.exe /X{8EDEEE7A-812E-41A4-BA68-9979462D5D31}
P_41_KB920213XPD_R_0100 --> MsiExec.exe /X{93FF7310-DE96-4A7D-A75E-5B20087E7976}
P_41_KB920670XPD_R_0100 --> MsiExec.exe /X{0BA216C8-B91E-4F5D-9F2B-7A11B1758E3C}
P_41_KB920683XPD_R_0100 --> MsiExec.exe /X{16D66EFB-6B93-49EB-8803-4893D521D8AE}
P_41_KB920685XPD_R_0100 --> MsiExec.exe /X{AA3A06C3-3580-4E9C-A7F5-5FC5142D8DD0}
P_41_KB921503XPD_R_0100 --> MsiExec.exe /X{ACD2A7E9-5837-41F8-8591-0496327A13C5}
P_41_KB923191XPD_R_0100 --> MsiExec.exe /X{6918D560-90F2-4B3B-98FD-A5CB60869879}
P_41_KB923414XPD_R_0100 --> MsiExec.exe /X{338656D5-9D19-43E4-8E80-388CDA63C90D}
P_41_KB923689XP2D_R_0100 --> MsiExec.exe /X{59DCC626-727C-43EE-AFF5-D80259849034}
P_41_KB924496XPD_R_0100 --> MsiExec.exe /X{7A5BE68F-D9DF-4572-8F2E-AC1E92FBE7A3}
P_41_KB924667XPD_R_0100 --> MsiExec.exe /X{5087E9A5-A65A-44AA-84ED-E7FE1B7C8903}
P_41_KB925398XP2D_R_0100 --> MsiExec.exe /X{EEEEEB23-F3E9-47F1-A02C-3D3AFFC528C2}
P_41_KB925902XPD_R_0100 --> MsiExec.exe /X{12DC3616-D67A-484A-B253-647CF7201F23}
P_41_KB926255XP2D_R_0100 --> MsiExec.exe /X{172CB615-1811-468B-8D52-4DFE9F1FE532}
P_41_KB926436XPD_R_0100 --> MsiExec.exe /X{B60EA56A-B911-4B03-BF7F-CB95FBFB60C8}
P_41_KB927779XPD_R_0100 --> MsiExec.exe /X{8E20F137-B3AD-474A-8386-F3C891C8BEA5}
P_41_KB927802XPD_R_0100 --> MsiExec.exe /X{F9E3FE25-A45E-4C81-BE9D-ADC7D4CCC2AF}
P_41_KB928090XPD_R_0100 --> MsiExec.exe /X{DB678257-F17A-40AE-9A6F-F9CEC4227356}
P_41_KB928255XPD_R_0100 --> MsiExec.exe /X{CEFD24D3-A23D-46A1-8C30-BFDBBF776068}
P_41_KB928843XPD_R_0100 --> MsiExec.exe /X{FC666248-96B7-41CD-A83A-6503F6EF911D}
P_41_KB929123XPD_R_0100 --> MsiExec.exe /X{B87A9168-2FFA-462A-87C8-FAE3C0D59807}
P_41_KB930178XPD_R_0100 --> MsiExec.exe /X{DAA0E546-1B06-41EF-8622-4E550AC20A64}
P_41_KB931261XPD_R_0100 --> MsiExec.exe /X{D98CF7AA-1015-4266-9E99-8F4B6482E034}
P_41_KB931784XPD_R_0100 --> MsiExec.exe /X{B07A5E3F-3F40-4D7F-93FF-5B8094158029}
P_41_KB932168XPD_R_0100 --> MsiExec.exe /X{7D907283-B766-4A51-8885-8C4760A1DF09}
P_41_KB933729XPD_R_0100 --> MsiExec.exe /X{81BD4B47-3B6C-4900-9D1F-DE1D22957825}
P_41_KB935448XPD_R_0100 --> MsiExec.exe /X{66148035-6CCC-4027-936E-D5A4C8C9B7B3}
P_41_KB935839XPD_R_0100 --> MsiExec.exe /X{0E98D466-CF87-4916-9281-28291F4FC6F5}
P_41_KB935840XPD_R_0100 --> MsiExec.exe /X{53A94B49-1881-4603-8AA2-AAC7931A7D82}
P_41_KB936021XPD_R_0100 --> MsiExec.exe /X{8B2417B2-925E-4FD8-A4BE-A421EF536416}
P_41_KB936782XPD_R_0100 --> MsiExec.exe /X{89F8B881-0913-4DF6-AED2-D267319E9ECF}
P_41_KB937894XPD_R_0100 --> MsiExec.exe /X{7918D446-F32F-4554-9519-66CFA86C829B}
P_41_KB938127XPD_R_0100 --> MsiExec.exe /X{F980A087-78F2-4C5A-8A19-E6E320AEF219}
P_41_KB938829XPD_R_0100 --> MsiExec.exe /X{D3C335F6-0F2C-426B-A79E-4A55E0847BC0}
P_41_KB939653XPD_R_0100 --> MsiExec.exe /X{ABC48AA2-554A-484D-B7EB-8AE187524868}
P_41_KB941202XPD_R_0100 --> MsiExec.exe /X{2B33BE18-E198-42AA-86EC-84ECB62CC566}
P_41_KB941568XPD_R_0100 --> MsiExec.exe /X{6D9C7D27-0B16-4878-86A9-99397D684A5C}
P_41_KB941569XPD_R_0100 --> MsiExec.exe /X{9733608A-DB35-428E-B789-F0A962831765}
P_41_KB943460XPD_R_0101 --> MsiExec.exe /X{5ADF2CC4-62C7-4EDD-A7F7-9C6388051394}
P_41_KB944653XPD_R_0100 --> MsiExec.exe /X{2FA1DEF7-7B4E-419F-9D09-961D11CB4797}
P_41_MCAXPD_R_02116 --> MsiExec.exe /I{96548324-C38C-4E74-A9E6-C24A42359788}
P_41_MCAXPDHF1_R_02116 --> MsiExec.exe /I{558214A3-7CDC-4C4D-B329-C1F24930EBF9}
P_41_PivotPro01_R_080200 --> MsiExec.exe /I{A080282F-6373-4295-8898-1024707F7F1C}
P_41_TKRCLIE_R_06060 --> MsiExec.exe /I{20851A48-3CFE-4256-8E88-222510250792}
P_41_UMTS01_R_01000 --> MsiExec.exe /I{590ED30C-3A4F-461F-A5E2-36AF1920EB0E}
P_41_UPDWINSDNSXP_0101 --> MsiExec.exe /I{987B7664-B65F-4B5F-BE4E-F9728927CCE6}
PC Connectivity Solution --> MsiExec.exe /I{AC599724-5755-48C1-ABE7-ABB857652930}
PCInfos --> MsiExec.exe /I{32683672-C986-4A65-8A6A-949298835BB3}
Pivot Software --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\00\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0217E1D1-BCEF-4A61-AF6D-F7740F65A066}\setup.exe" -l0x7  -removeonly
Power Saving Utility --> C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{79821CAD-999C-443D-B420-96F914C84E27}
Quick View Plus 6.0.1 --> MsiExec.exe /I{B7A142C8-3A65-4E8B-A2C4-07B4357908BB}
QuickTime --> MsiExec.exe /I{08CA9554-B5FE-4313-938F-D4A417B81175}
Radia Client --> MsiExec.exe /X{70AF8EDE-B1C9-4403-82C3-2CD3E2FD90D7}
Realtek High Definition Audio Driver --> RtlUpd.exe -r -m
S_41_XPIEPROXYSET_000100 --> MsiExec.exe /I{18AB9A33-B9A5-4B4B-BC98-3AE1381AF8FA}
S_K4_ROLLOUTPANEL_0100 --> MsiExec.exe /I{EB49D1B4-5345-40D0-9F85-C8CD6009C9C7}
SAP Front End --> "C:\WINDOWS\SAPwksta\setup\sapsetup.exe" /uninstall /norestart
Sicherheitsupdate für Windows XP (KB893066) --> "C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756) --> "C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896422) --> "C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423) --> "C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896424) --> "C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725) --> "C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017) --> "C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214) --> "C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400) --> "C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706) --> "C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414) --> "C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749) --> "C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519) --> "C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562) --> "C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927) --> "C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912919) --> "C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913446) --> "C:\WINDOWS\$NtUninstallKB913446$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914388) --> "C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389) --> "C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917344) --> "C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917422) --> "C:\WINDOWS\$NtUninstallKB917422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917953) --> "C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118) -->
Sicherheitsupdate für Windows XP (KB918899) -->
Sicherheitsupdate für Windows XP (KB920213) -->
Sicherheitsupdate für Windows XP (KB920670) --> "C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920683) --> "C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920685) --> "C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921398) --> "C:\WINDOWS\$NtUninstallKB921398$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921503) -->
Sicherheitsupdate für Windows XP (KB921883) --> "C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922616) --> "C:\WINDOWS\$NtUninstallKB922616$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923191) --> "C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923414) --> "C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923689) -->
Sicherheitsupdate für Windows XP (KB924270) -->
Sicherheitsupdate für Windows XP (KB924496) --> "C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667) -->
Sicherheitsupdate für Windows XP (KB925486) -->
Sicherheitsupdate für Windows XP (KB925902) -->
Sicherheitsupdate für Windows XP (KB926255) -->
Sicherheitsupdate für Windows XP (KB926436) -->
Sicherheitsupdate für Windows XP (KB927779) -->
Sicherheitsupdate für Windows XP (KB927802) -->
Sicherheitsupdate für Windows XP (KB928090) -->
Sicherheitsupdate für Windows XP (KB928255) -->
Sicherheitsupdate für Windows XP (KB928843) -->
Sicherheitsupdate für Windows XP (KB929123) -->
Sicherheitsupdate für Windows XP (KB929969) -->
Sicherheitsupdate für Windows XP (KB930178) -->
Sicherheitsupdate für Windows XP (KB931261) -->
Sicherheitsupdate für Windows XP (KB931784) -->
Sicherheitsupdate für Windows XP (KB932168) -->
Sicherheitsupdate für Windows XP (KB933566) -->
Sicherheitsupdate für Windows XP (KB933729) -->
Sicherheitsupdate für Windows XP (KB935839) -->
Sicherheitsupdate für Windows XP (KB935840) -->
Sicherheitsupdate für Windows XP (KB936021) -->
Sicherheitsupdate für Windows XP (KB937143) -->
Sicherheitsupdate für Windows XP (KB937894) -->
Sicherheitsupdate für Windows XP (KB938127) -->
Sicherheitsupdate für Windows XP (KB938829) -->
Sicherheitsupdate für Windows XP (KB939653) -->
Sicherheitsupdate für Windows XP (KB941202) -->
Sicherheitsupdate für Windows XP (KB941568) -->
Sicherheitsupdate für Windows XP (KB941569) -->
Sicherheitsupdate für Windows XP (KB943460) -->
Sicherheitsupdate für Windows XP (KB944653) -->
Skype™ 3.5 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe"
Update für Windows XP (KB896256) -->
Update für Windows XP (KB911280) --> "C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
VideoLAN VLC media player 0.8.6c --> C:\Programme\VideoLAN\VLC\uninstall.exe
Viewpoint Media Player (Remove Only) --> C:\Programme\Viewpoint\Viewpoint Media Player\\mtsAxInstaller.exe /u
Windows-Treiberpaket - Nokia Modem (03/05/2008 3.7) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokia_blue_635B28EFCFA9395123BB1C251595CB16129E2560\nokia_bluetooth.inf
Windows-Treiberpaket - Nokia Modem (03/13/2008 6.86.0.1) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\nokbtmdm_28F2EAC406838DA65AFF6C6886FE9FE96AEF5186\nokbtmdm.inf
Windows-Treiberpaket - Nokia pccsmcfd (10/12/2007 6.85.4.0) --> C:\PROGRA~1\DIFX\270581355A767BF1\dpinst.exe /u C:\WINDOWS\system32\DRVSTORE\pccsmcfd_4A1E30386F4D0DEC8F5DF262CFBD8845EEBAB175\pccsmcfd.inf
Windows XP-Hotfix - KB873333 --> C:\WINDOWS\$NtUninstallKB873333$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873339 --> C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB883667 --> C:\WINDOWS\$NtUninstallKB883667$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885250 --> C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835 --> C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836 --> C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888113 --> C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302 --> C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781 --> C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
WinRAR --> D:\Programme\WinRAR\uninstall.exe
WinSysClean 2008 Trial --> "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{044CCC32-19C8-40C9-92DE-7D50DCAC47BA}\wsc.exe" REMOVE=TRUE MODIFY=FALSE
WinSysClean 2008 Trial --> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{044CCC32-19C8-40C9-92DE-7D50DCAC47BA}\wsc.exe
WinZip 8.1 --> MsiExec.exe /I{F2719FE9-1907-44A1-BD0C-CAC6D6B91D42}
XnView 1.91.4 --> C:\Programme\XnView\unins000.exe
Yahoo! Install Manager --> C:\WINDOWS\system32\regsvr32 /u C:\PROGRA~1\Yahoo!\Common\YINSTH~1.DLL
Yahoo! Toolbar mit Pop-Up-Blocker --> C:\PROGRA~1\Yahoo!\Common\unyt.exe


-- Application Event Log -------------------------------------------------------

Event Record #/Type6364 / Warning
Event Submitted/Written: 07/17/2008 00:19:51 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
Eicar-Test-SignatureC:\TEMP\quarantine\Av-test.txt.Vir

Event Record #/Type6363 / Warning
Event Submitted/Written: 07/17/2008 00:19:23 PM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
Eicar-Test-SignatureC:\TEMP\quarantine\Av-test.txt.Vir

Event Record #/Type6359 / Warning
Event Submitted/Written: 07/17/2008 10:03:34 AM
Event ID/Source: 4113 / Avira AntiVir
Event Description:
TR/Crypt.XPACK.GenC:\Avenger\runs.vir

Event Record #/Type6356 / Warning
Event Submitted/Written: 07/17/2008 09:59:19 AM
Event ID/Source: 4356 / EventSystem
Event Description:
Das COM+-Ereignissystem konnte keine Instanz des Abonnenten partition:{41E90F3E-56C1-4633-81C3-6E8BAC8BDD70}!new:{6295DF2D-35EE-11D1-8707-00C04FD93327} erstellen. CoGetObject gab HRESULT 8000401A zurück.

Event Record #/Type6338 / Warning
Event Submitted/Written: 07/17/2008 09:38:02 AM
Event ID/Source: 4356 / EventSystem
Event Description:
Das COM+-Ereignissystem konnte keine Instanz des Abonnenten partition:{41E90F3E-56C1-4633-81C3-6E8BAC8BDD70}!new:{6295DF2D-35EE-11D1-8707-00C04FD93327} erstellen. CoGetObject gab HRESULT 8000401A zurück.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type18016 / Warning
Event Submitted/Written: 07/17/2008 01:39:28 PM
Event ID/Source: 4226 / Tcpip
Event Description:
TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.

Event Record #/Type18010 / Error
Event Submitted/Written: 07/17/2008 01:38:24 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
agp440

Event Record #/Type18005 / Error
Event Submitted/Written: 07/17/2008 01:35:33 PM / 07/17/2008 01:36:03 PM
Event ID/Source: 19465 / ati2mtag
Event Description:
CPLIB :: General - Failed to authenticate output protection

Event Record #/Type17995 / Error
Event Submitted/Written: 07/17/2008 01:00:02 PM
Event ID/Source: 7901 / Schedule
Event Description:
Der Befehl "At14.job" konnte aufgrund folgenden Fehlers nicht ausgeführt werden:
%%2147942402

Event Record #/Type17980 / Warning
Event Submitted/Written: 07/17/2008 00:32:44 PM
Event ID/Source: 4226 / Tcpip
Event Description:
TCP/IP hat das Sicherheitslimit erreicht, das für die Anzahl gleichzeitiger TCP-Verbindungsversuche festgelegt wurde.



-- End of Deckard's System Scanner: finished at 2008-07-17 13:43:54 ------------

Drachenwelt 17.07.2008 13:16
Deckard'S Main:

Code:
Deckard's System Scanner v20071014.68
Run by bkzyu6 on 2008-07-17 13:41:06
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 4 Restore Point(s) --
4: 2008-07-17 11:41:13 UTC - RP4 - Deckard's System Scanner Restore Point
3: 2008-07-16 14:52:44 UTC - RP3 - Removed ScreenSaver7Values
2: 2008-07-16 11:37:34 UTC - RP2 - ComboFix created restore point
1: 2008-07-16 11:36:22 UTC - RP1 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as bkzyu6.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:43:01, on 17.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\T-Systems Nova\Mobile Corporate Access\GRFW.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\mcshield.exe
C:\Programme\Network Associates\VirusScan\vstskmgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Novadigm\radexecd.exe
C:\Programme\Novadigm\radsched.exe
C:\Programme\Novadigm\Radstgms.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TKRV6XP\ServFtp.exe
C:\Programme\TKRV6XP\TLOGFILE.EXE
C:\Programme\TKRV6XP\TkrService.exe
C:\Programme\TKRV6XP\FUSsrv.exe
C:\Programme\TKRV6XP\ServTKR.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AIM95\aim.exe
D:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe
D:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Dokumente und Einstellungen\bkzyu6\Desktop\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\bkzyu6.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.***.de/profpro_tower_ad.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=ftpproxy.***.de:8080;http=wwwproxy.***.de:8080;https=wwwproxy.***.de:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = ;*.***.de;127.0.0.1;*.***.de;*.intra.***.net;*.dp-itsolutions.de;localhost;<local>
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {53756402-2001-5762-3046-99ca3230262a} - C:\Programme\Common Files\System\nt_mmcs.cpl
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AIM] C:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Nokia.PCSync] "D:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: (no name) - {AEF9B8DB-0DEF-4c0b-8209-661C9E82B8C3} - C:\Programme\WinSysClean 2008 Trial\UDManager\UDManager.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://d0076111.***.de
O16 - DPF: {22D76F0E-F7F9-11D7-8331-00408103CBD8} (HIPCtrl20031006.HIPCtrl1) - http://dddpi051.***.de/prg/HIPCtrl20031006.CAB
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ***.***.com
O17 - HKLM\Software\..\Telephony: DomainName = ***.***.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{3CCAA8BA-B158-49D3-9CD9-1F8F8CA05A0C}: Domain = ***.***.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ***.***.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = ***.***.com,***.de,***.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ***.***.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = ***.***.com,***.de,***.com
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = ***.***.com,***.de,***.com
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: CexTrayWinLogon - C:\Programme\CryptoEx\Common\CexTrayWinLogon.dll
O20 - Winlogon Notify: PSUTY - C:\WINDOWS\SYSTEM32\PSUWNP.dll
O20 - Winlogon Notify: TalkRemote - C:\WINDOWS\SYSTEM32\TkrginaExt.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Corporate WLAN Configuration (CWLANCFG) - Unknown owner - C:\SCRIPTS\CWLAN\srvany.exe
O23 - Service: Global Remote Firewall - T-Systems International GmbH - C:\Programme\T-Systems Nova\Mobile Corporate Access\GRFW.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Programme\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: Radia Notify Daemon (radexecd) - Hewlett-Packard - C:\Programme\Novadigm\radexecd.exe
O23 - Service: Radia Scheduler Daemon (radsched) - Hewlett-Packard - C:\Programme\Novadigm\radsched.exe
O23 - Service: Radia MSI Redirector (Radstgms) - Hewlett-Packard - C:\Programme\Novadigm\Radstgms.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TalkRemote 6.0 FTP Server - INTEGRO - C:\Programme\TKRV6XP\ServFtp.exe
O23 - Service: TalkRemote 6.0 NT Security - Integro - C:\Programme\TKRV6XP\TkrService.exe
O23 - Service: TalkRemote 6.0 WorkStation (TalkRemote 6.0 Workstation) - Integro - C:\Programme\TKRV6XP\ServTKR.exe
O23 - Service: TalkRemote FUS Server - Unknown owner - C:\Programme\TKRV6XP\FUSsrv.exe

--
End of file - 10906 bytes

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 KBFILTR (TalkRemote Keyboard Filter) - c:\windows\system32\drivers\kbfiltr.sys <Not Verified; Windows (R) 2000 DDK provider; Windows (R) 2000 DDK driver>
R1 MOUFILTR (TalkRemote Mouse Filter) - c:\windows\system32\drivers\moufiltr.sys <Not Verified; Windows (R) 2000 DDK provider; Windows (R) 2000 DDK driver>
R1 MOUFILTRX (TalkRemote Mouse FilterX) - c:\windows\system32\drivers\moufiltrx.sys <Not Verified; Windows (R) 2000 DDK provider; Windows (R) 2000 DDK driver>
R1 NaiAvTdi1 - c:\windows\system32\drivers\mvstdi5x.sys <Not Verified; McAfee Inc.; VirusScan>
R1 Pivot - c:\windows\system32\drivers\pivot.sys <Not Verified; Portrait Displays, Inc.; Windows (R) 2000 DDK driver>
R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
R1 TKR5SYNC - c:\windows\system32\drivers\tkrsync.sys
R1 TKRMGR (TalkRemote Driver1) - c:\windows\system32\drivers\tkrmgr.sys <Not Verified; Windows (R) 2000 DDK provider; Windows (R) 2000 DDK driver>
R1 Tosrfcom (Bluetooth RFCOMM from TOSHIBA) - c:\windows\system32\drivers\tosrfcom.sys <Not Verified; TOSHIBA Corporation; Bluetooth RFCOMM Driver>
R2 BtnHnd - c:\programme\fujitsu\btnhnd\btnhnd.sys <Not Verified; FUJITSU LIMITED; Button handler>
R3 EntDrv51 - c:\windows\system32\drivers\entdrv51.sys <Not Verified; McAfee, Inc; VirusScan>
R3 FUJ02E1 (%FUJ02E1.DeviceDesc%) - c:\windows\system32\drivers\fuj02e1.sys <Not Verified; Fujitsu Limited; Module Control>
R3 NaiAvFilter1 - c:\windows\system32\drivers\naiavf5x.sys <Not Verified; McAfee Inc.; VirusScan>
R3 pivotmou (Pivot Mouse/Pointers Filter Driver) - c:\windows\system32\drivers\pivotmou.sys <Not Verified; Portrait Displays, Inc.; Pivot (R) Software (R)>
R3 RadiaMsi - c:\windows\system32\drivers\radiamsi.sys <Not Verified; Hewlett Packard; Radia>
R3 tosporte (Bluetooth Port Driver from Toshiba) - c:\windows\system32\drivers\tosporte.sys <Not Verified; TOSHIBA Corporation; TOSHIBA Bluetooth Port Emulation Driver>
R3 Tosrfbd (Bluetooth RFBUS from TOSHIBA) - c:\windows\system32\drivers\tosrfbd.sys <Not Verified; TOSHIBA CORPORATION; Bluetooth BUS Driver(WindowsXP,Windows2000)>
R3 Tosrfbnp (Bluetooth RFBNEP from TOSHIBA) - c:\windows\system32\drivers\tosrfbnp.sys <Not Verified; TOSHIBA Corporation; Bluetooth RFBNEP Driver from TOSHIBA>
R3 Tosrfhid (Bluetooth RFHID from TOSHIBA) - c:\windows\system32\drivers\tosrfhid.sys <Not Verified; TOSHIBA Corporation.; Bluetooth HID Driver from TOSHIBA>
R3 tosrfnds (Bluetooth Personal Area Network from TOSHIBA) - c:\windows\system32\drivers\tosrfnds.sys <Not Verified; TOSHIBA Corporation.; Bluetooth BNEP Driver from TOSHIBA>
R3 Tosrfusb (Bluetooth USB Controller) - c:\windows\system32\drivers\tosrfusb.sys <Not Verified; TOSHIBA CORPORATION; Microsoft(R) Windows NT(R) Operating System>

S3 catchme - c:\combofix\catchme.sys (file missing)
S3 ialm - c:\windows\system32\drivers\ialmnt5.sys <Not Verified; Intel Corporation; Intel Graphics Accelerator Drivers for Windows NT(R)>
S3 MTsensor (ATK0100 ACPI UTILITY) - c:\windows\system32\drivers\atkacpi.sys (file missing)
S3 pcouffin (VSO Software pcouffin) - c:\windows\system32\drivers\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine>
S3 toshidpt (TOSHIBA Bluetooth HID port driver) - c:\windows\system32\drivers\toshidpt.sys <Not Verified; TOSHIBA Corporation.; TOSHIBA Bluetooth HID Mini Port Driver>
S3 TosRfSnd (Bluetooth Audio Device (WDM) from TOSHIBA) - c:\windows\system32\drivers\tosrfsnd.sys <Not Verified; TOSHIBA Corporation; Bluetooth Audio Driver>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>
R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>
R2 Global Remote Firewall - c:\programme\t-systems nova\mobile corporate access\grfw.exe <Not Verified; T-Systems International GmbH; IP-Filter>
R2 McTaskManager (Network Associates Task Manager) - "c:\programme\network associates\virusscan\vstskmgr.exe" <Not Verified; Network Associates, Inc.; VirusScan Enterprise>
R2 radexecd (Radia Notify Daemon) - c:\programme\novadigm\radexecd.exe <Not Verified; Hewlett-Packard; Radia®>
R2 radsched (Radia Scheduler Daemon) - c:\programme\novadigm\radsched.exe <Not Verified; Hewlett-Packard; Radia®>
R2 Radstgms (Radia MSI Redirector) - c:\programme\novadigm\radstgms.exe <Not Verified; Hewlett-Packard; Radia®>
R2 TalkRemote 6.0 FTP Server - c:\programme\tkrv6xp\servftp.exe <Not Verified; INTEGRO; IME FTPSV32>
R2 TalkRemote 6.0 NT Security - c:\programme\tkrv6xp\tkrservice.exe <Not Verified; Integro; IME SecTkr>
R2 TalkRemote 6.0 Workstation - c:\programme\tkrv6xp\servtkr.exe <Not Verified; Integro; IME ServTkr>
R2 TalkRemote FUS Server - c:\programme\tkrv6xp\fussrv.exe
R3 ServiceLayer - "c:\programme\pc connectivity solution\servicelayer.exe" <Not Verified; Nokia.; PC Connectivity Solution>

S3 CWLANCFG (Corporate WLAN Configuration) - c:\scripts\cwlan\srvany.exe

Drachenwelt 17.07.2008 13:17
Main Teil 2:

Code:

-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E96D-E325-11CE-BFC1-08002BE10318}
Description: Agere Systems HDA Modem
Device ID: HDAUDIO\FUNC_02&VEN_11C1&DEV_1040&SUBSYS_11C10001&REV_1002\4&30FFF240&0&0101
Manufacturer: Agere
Name: Agere Systems HDA Modem
PNP Device ID: HDAUDIO\FUNC_02&VEN_11C1&DEV_1040&SUBSYS_11C10001&REV_1002\4&30FFF240&0&0101
Service: Modem

Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Description: RAS-NDIS-TAPI-Treiber
Device ID: ROOT\LEGACY_NDISTAPI\0000
Manufacturer:
Name: RAS-NDIS-TAPI-Treiber
PNP Device ID: ROOT\LEGACY_NDISTAPI\0000
Service: NdisTapi

Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Description: Treiber für automatische RAS-Verbindung
Device ID: ROOT\LEGACY_RASACD\0000
Manufacturer:
Name: Treiber für automatische RAS-Verbindung
PNP Device ID: ROOT\LEGACY_RASACD\0000
Service: RasAcd

Class GUID: {8ECC055D-047F-11D1-A537-0000F8753ED1}
Description: RAS-IP-ARP-Treiber
Device ID: ROOT\LEGACY_WANARP\0000
Manufacturer:
Name: RAS-IP-ARP-Treiber
PNP Device ID: ROOT\LEGACY_WANARP\0000
Service: Wanarp

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Infrarotanschluss
Device ID: ROOT\MS_IRDAMINIPORT\0000
Manufacturer: Microsoft
Name: Infrarotanschluss
PNP Device ID: ROOT\MS_IRDAMINIPORT\0000
Service: Rasirda

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: WAN-Miniport (L2TP)
Device ID: ROOT\MS_L2TPMINIPORT\0000
Manufacturer: Microsoft
Name: WAN-Miniport (L2TP)
PNP Device ID: ROOT\MS_L2TPMINIPORT\0000
Service: Rasl2tp

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: WAN-Miniport (IP)
Device ID: ROOT\MS_NDISWANIP\0000
Manufacturer: Microsoft
Name: WAN-Miniport (IP)
PNP Device ID: ROOT\MS_NDISWANIP\0000
Service: NdisWan

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: WAN-Miniport (PPPOE)
Device ID: ROOT\MS_PPPOEMINIPORT\0000
Manufacturer: Microsoft
Name: WAN-Miniport (PPPOE)
PNP Device ID: ROOT\MS_PPPOEMINIPORT\0000
Service: RasPppoe

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: WAN-Miniport (PPTP)
Device ID: ROOT\MS_PPTPMINIPORT\0000
Manufacturer: Microsoft
Name: WAN-Miniport (PPTP)
PNP Device ID: ROOT\MS_PPTPMINIPORT\0000
Service: PptpMiniport

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}
Description: Parallelanschluss (direkt)
Device ID: ROOT\MS_PTIMINIPORT\0000
Manufacturer: Microsoft
Name: Parallelanschluss (direkt)
PNP Device ID: ROOT\MS_PTIMINIPORT\0000
Service: Raspti


-- Scheduled Tasks -------------------------------------------------------------

2008-07-17 13:00:01      354 --a------ C:\WINDOWS\Tasks\At14.job
2008-07-17 12:00:00      354 --a------ C:\WINDOWS\Tasks\At13.job
2008-07-17 11:00:01      354 --a------ C:\WINDOWS\Tasks\At12.job
2008-07-17 10:00:00      354 --a------ C:\WINDOWS\Tasks\At11.job
2008-07-17 09:00:00      354 --a------ C:\WINDOWS\Tasks\At10.job
2008-07-16 17:00:00      354 --a------ C:\WINDOWS\Tasks\At18.job
2008-07-16 16:00:01      354 --a------ C:\WINDOWS\Tasks\At17.job
2008-07-16 15:00:05      354 --a------ C:\WINDOWS\Tasks\At16.job
2008-07-16 14:00:24      354 --a------ C:\WINDOWS\Tasks\At15.job
2008-07-15 08:00:00      354 --a------ C:\WINDOWS\Tasks\At9.job
2008-07-15 07:00:00      354 --a------ C:\WINDOWS\Tasks\At8.job
2008-07-15 06:00:00      354 --a------ C:\WINDOWS\Tasks\At7.job
2008-07-15 04:59:59      354 --a------ C:\WINDOWS\Tasks\At6.job
2008-07-15 04:00:00      354 --a------ C:\WINDOWS\Tasks\At5.job
2008-07-15 03:00:00      354 --a------ C:\WINDOWS\Tasks\At4.job
2008-07-15 02:00:01      354 --a------ C:\WINDOWS\Tasks\At3.job
2008-07-15 01:00:00      354 --a------ C:\WINDOWS\Tasks\At2.job
2008-07-15 00:29:00      354 --a------ C:\WINDOWS\Tasks\At1.job
2008-07-14 23:00:01      354 --a------ C:\WINDOWS\Tasks\At24.job
2008-07-14 22:00:00      354 --a------ C:\WINDOWS\Tasks\At23.job
2008-07-14 21:00:00      354 --a------ C:\WINDOWS\Tasks\At22.job
2008-07-14 20:00:00      354 --a------ C:\WINDOWS\Tasks\At21.job
2008-07-14 19:00:00      354 --a------ C:\WINDOWS\Tasks\At20.job
2008-07-14 18:00:00      354 --a------ C:\WINDOWS\Tasks\At19.job
2008-07-11 10:34:03      276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
2008-07-03 10:07:38      394 --a------ C:\WINDOWS\Tasks\Norton Security Scan.job


-- Files created between 2008-06-17 and 2008-07-17 -----------------------------

2008-07-17 13:40:42        0 d-------- H:\Deckard
2008-07-17 12:17:16        0 dr-h----- C:\Dokumente und Einstellungen\bkzyu6\Recent
2008-07-16 16:41:41        0 d-------- C:\Programme\Trend Micro
2008-07-16 16:08:26        0 d-------- C:\WINDOWS\system32\LogFiles
2008-07-16 13:38:23        0 d-------- C:\Dokumente und Einstellungen\bkzyu6\Start Menu
2008-07-16 13:36:12    68096 --a------ C:\WINDOWS\zip.exe
2008-07-16 13:36:12    49152 --a------ C:\WINDOWS\VFind.exe
2008-07-16 13:36:12    212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
2008-07-16 13:36:12    136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>
2008-07-16 13:36:12    161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
2008-07-16 13:36:12    98816 --a------ C:\WINDOWS\sed.exe
2008-07-16 13:36:12    80412 --a------ C:\WINDOWS\grep.exe
2008-07-16 13:36:12    89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-07-16 13:26:41        0 d-------- C:\Programme\Yahoo!
2008-07-16 13:26:35        0 d-------- C:\Programme\CCleaner
2008-07-16 12:05:33        0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-15 15:48:02        0 d-------- C:\Programme\Avira
2008-07-09 14:36:02        0 d-------- C:\WINDOWS\system32\olixds01
2008-07-01 11:46:43        0 d-------- C:\Programme\Common Files
2008-06-20 08:27:08        0 d-------- C:\Programme\iPod
2008-06-20 08:27:01        0 d-------- C:\Programme\iTunes
2008-06-20 08:25:22        0 d-------- C:\Programme\QuickTime
2008-06-19 16:13:41        0 d-------- C:\Programme\PC Connectivity Solution


-- Find3M Report ---------------------------------------------------------------

2008-07-17 13:38:46      1029 --a------ C:\WINDOWS\TKRCFG.DAT
2008-07-17 09:00:31        0 d-------- C:\Dokumente und Einstellungen\bkzyu6\Anwendungsdaten\Skype
2008-07-16 13:12:55    398908 --a------ C:\WINDOWS\system32\perfh007.dat
2008-07-16 13:12:55    68492 --a------ C:\WINDOWS\system32\perfc007.dat
2008-07-16 12:05:40        0 d-------- C:\Dokumente und Einstellungen\bkzyu6\Anwendungsdaten\Malwarebytes
2008-07-16 08:16:20        0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-15 16:06:57        0 d-------- C:\Programme\Novadigm
2008-07-15 14:30:03        0 d-------- C:\Programme\Google
2008-07-15 13:41:16        0 d-------- C:\Programme\Norton Security Scan
2008-07-15 13:26:00        0 d-------- C:\Programme\Gemeinsame Dateien
2008-07-11 13:31:17    38048 --a------ C:\Dokumente und Einstellungen\bkzyu6\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-07-08 11:16:31        0 d-------- C:\Programme\Masterlayout
2008-07-03 16:03:17        0 d--h----- C:\Programme\InstallShield Installation Information
2008-06-20 08:22:17        0 d-------- C:\Programme\Apple Software Update
2008-06-19 16:35:26        0 d-------- C:\Programme\AIM95
2008-06-19 16:27:28        0 d-------- C:\Dokumente und Einstellungen\bkzyu6\Anwendungsdaten\Nokia
2008-06-19 16:15:12        0 d-------- C:\Programme\Gemeinsame Dateien\PCSuite
2008-06-19 16:15:12        0 d-------- C:\Programme\Gemeinsame Dateien\Nokia
2008-06-19 16:14:00        0 d-------- C:\Programme\DIFX
2008-06-19 16:12:21        0 d-------- C:\Programme\Nokia
2008-04-30 07:20:32    13023 --a------ C:\Dokumente und Einstellungen\bkzyu6\Anwendungsdaten\Microsoft Excel.CAL


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53756402-2001-5762-3046-99ca3230262a}]
16.07.2008 11:38        51712        -rahs----        C:\Programme\Common Files\System\nt_mmcs.cpl

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [23.06.2005 20:33]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [02.06.2008 11:13]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12.02.2008 10:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [07.03.2007 12:44]
"AIM"="C:\Programme\AIM95\aim.exe" [14.11.2002 02:50]
"Nokia.PCSync"="D:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" [26.03.2008 18:41]
"PC Suite Tray"="D:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" [16.04.2008 12:53]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [07.07.2008 09:42]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"HideStartupScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\CexTrayWinLogon]
C:\Programme\CryptoEx\Common\CexTrayWinLogon.dll 26.01.2005 13:25 57344 C:\Programme\CryptoEx\Common\CexTrayWinLogon.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PSUTY]
PSUWNP.dll 09.03.2006 19:58 32768 C:\WINDOWS\system32\PSUWNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\TalkRemote]
TkrginaExt.dll 26.04.2006 10:07 57344 C:\WINDOWS\system32\TKRGINAEXT.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Shutdown\0\0]
"Script"=%ProgramFiles%\Novadigm\connectm.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Shutdown\1\0]
"Script"=c:\scripts\tcpip\return_ip.vbe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\0\0]
"Script"=C:\Programme\KIS_Config\SetEnvVarCompLoc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\1\0]
"Script"=LocalAdmin.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\Machine\Scripts\Startup\2\0]
"Script"=c:\scripts\tcpip\start_ip.vbe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-854245398-562591055-1801674531-481284\Scripts\Logon\0\0]
"Script"=%ProgramFiles%\Novadigm\connectu.bat

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-854245398-562591055-1801674531-481284\Scripts\Logon\1\0]
"Script"=%ProgramFiles%\Novadigm\ProductScripts\MasterProductScript.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-854245398-562591055-1801674531-481284\Scripts\Logon\2\0]
"Script"=setpacgold.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-854245398-562591055-1801674531-481284\Scripts\Logon\3\0]
"Script"=%programFiles%\csc\offsync.vbe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders        msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a0d88398-0db7-11dc-a493-404e57434401}]
AutoRun\command- \golf\golf.exe

*Newly Created Service* - ENTDRV51

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EEBF9CA6-567B-41cd-B5F6-EF2C7FEF37B5}]
rundll32.exe advpack.dll,LaunchINFSectionEx C:\WINDOWS\INF\wmactedp.inf,PerUserStub,,4



-- End of Deckard's System Scanner: finished at 2008-07-17 13:43:54 ------------

Drachenwelt 17.07.2008 13:18
So weit so gut...
Datei weg.
Sobald ich aber den IE aufmache und zu euerer Seite gehe kommt Ein Fenster:
Antispysoftware wird installiert ( nix machbar)
und zack ist die Datei wieder auf dem Desktop.

Schein echt hartnäckig zu sein

Silent sharK 17.07.2008 13:19
Tut mir leid, hab was vergessen zu erwähnen:
Das ' bitte weglassen ;) (editieren, wenn mögl.)

Ansonsten, hast du noch Probleme mit deinem Rechner?

Drachenwelt 17.07.2008 13:28
wie gesagt
dieses Fenster mit Antispysoftware läuft dann auf 100%
und danach liegt die runs.exe wieder auf dem Desktop...

wenn es nur ein Böser Werbegag für ne Antispysoftware sein soll finde ich das eigentlich nicht so witzig .

Drachenwelt 17.07.2008 13:33
und was mir noch aufgefallen ist...
Nachdem Avenger die Datei erfolgreich gelöscht hatte,
war auf dem Laufwerk ein Verzeichnis
c:\Avenger

darin lag dann : die runs.exe

eigenartig oder ?

Silent sharK 17.07.2008 13:40
Zitat:
S3 catchme - c:\combofix\catchme.sys (file missing)
Du hattest ComboFix durchlaufen lassen?
Zitat:
Nachdem Avenger die Datei erfolgreich gelöscht hatte,
war auf dem Laufwerk ein Verzeichnis
c:\Avenger

darin lag dann : die runs.exe
Hast du Avenger den Neustart durchführen lassen?


Edit:
Zitat:
C:\Programme\CryptoEx\Common\CexTrayWinLogon.dll
Das bitte bei Virustotal auswerten lassen und Ergebnis posten.

mfg

trojan-death 17.07.2008 14:06
Zitat:
Zitat von Drachenwelt (Beitrag 355012)
und was mir noch aufgefallen ist...
Nachdem Avenger die Datei erfolgreich gelöscht hatte,
war auf dem Laufwerk ein Verzeichnis
c:\Avenger

darin lag dann : die runs.exe

eigenartig oder ?
Hi zusammen
Möchte nur kurz etwas zu deinem Problem sagen
Ich hatte/habe auch 2 Ordner gehabt die ich einfach nicht löschen konnte, dann hab ichs mit The Avenger gemacht, hat funktioniert, nur liegen diese Ordner nun wie bei dir auch in C:\Avenger...
Habe schon so ziemlich alle Tools ausprobiert und mich bei anderen Foren beraten lassen, unter anderem bei SWI dort ist der Entwickler von The Avenger tätig und auch die haben es nicht geschafft mir zu helfen (bin ja nicht allzu dämlich und bin hier auch ständig tätig aber solche Sachen:koch:)
Was aber das verrückte ist, habe diese Ordner nun seit Wochen in Ruhe gelassen da ich mich geschlagen gab und plötzlich waren sie verschwunden:Boogie:

Noch viel Glück und vlt. wenn ihr nicht mehr weiter wisst, kann ich euch noch ein paar Sachen empfehlen die bei dir vlt. funktionieren:daumenhoc

Gruss trojan-death


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:57 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131